「宅配便の不在通知が届いた。でも、今日は荷物なんて頼んでいないはずなんだけど……」
そのSMS、開いてしまいましたか?
実は今、SMSを使ったフィッシング詐欺「スミッシング」が日本中で急増しています。宅配会社や公共機関、銀行をそっくりそのまま騙り、偽サイトに誘導して個人情報を盗み取る手口なんです。
この記事では、スミッシングの仕組みと代表的な手口、本物と偽物の見分け方、そして万が一被害に遭ったときの対処法をわかりやすく解説します。ぜひ最後まで読んで、大切な家族にも共有してみてください!
スミッシングとは何か
まずは「スミッシング」という言葉の意味と、なぜ今これほど被害が広がっているのかを整理しましょう。
フィッシング詐欺とどう違うのか
「スミッシング(Smishing)」とは、SMS(ショートメッセージ)を使ったフィッシング詐欺のことです。「SMS」と「フィッシング(Phishing)」を組み合わせた造語なんです。
従来のフィッシング詐欺はメールで届くことがほとんどでした。ところが最近は、メールフィルターやセキュリティソフトによってメール詐欺が検知されやすくなったため、詐欺師たちが目を付けたのが「SMS」なんです。
たとえば、スマホのメールアプリには迷惑メールフィルターが標準で搭載されていますよね。でも、SMS(ショートメッセージ)にはそのようなフィルターが効きにくいため、偽メッセージがそのまま届いてしまいやすいんです。
たった一度のタップで何が起きるのか
スミッシングが怖いのは、URLを一度タップするだけで被害が始まるケースがあるという点です。
偽のURLをタップすると、主に次の2つのどちらかが起きます。
| パターン | 何が起きるか | 主な被害 |
|---|---|---|
| 偽サイトへ誘導 | 本物そっくりのサイトでID・パスワードの入力を求められる | アカウントの乗っ取り・個人情報の流出 |
| 不正アプリのインストール | 「追跡アプリ」「セキュリティアプリ」などを装ったマルウェアを入れさせられる | スマホの遠隔操作・連絡先の流出・さらなるSMS拡散 |
たとえば、「荷物を追跡するアプリをインストールしてください」と表示されてインストールを進めると、その裏で連絡先データが抜き取られ、同じ詐欺SMSが自分のスマホから一斉送信される——という被害が実際に起きています。スマホ本体を乗っ取られて、知らないうちに加害者になってしまうケースも報告されているんです。
よく届く偽SMSの手口3パターン
スミッシングには、特によく使われる「型」があります。代表的な3つのパターンを覚えておくだけで、かなり被害を防ぎやすくなりますよ。
宅配会社を騙る「不在通知」SMS
最も報告件数が多いのが、ヤマト運輸・佐川急便・日本郵便などの宅配会社を騙る手口です。「お荷物をお届けに参りましたが不在のため持ち帰りました」という文面とともに、偽のURLが送られてきます。
たとえば、こんな文面が届きます。
【ヤマト運輸】お荷物のお届けに伺いましたが、不在のため持ち帰りました。下記よりお受け取り日時のご確認をお願い致します。https://○○○.com/…
スミッシングでよく報告される文面の例(実在するメッセージを参考に再構成)
URLをタップすると本物そっくりの偽サイトが開き、氏名・住所・クレジットカード番号の入力を求められます。または「追跡アプリ」と称した不正アプリのインストールを促されることもあります。
実際に私の元に届いたSMSのスクリーンショットも乗せておきます。
重要:ヤマト運輸・佐川急便はSMSでの不在通知を行っていません。SMSで不在通知が来た場合、それは偽物だと判断してください。(ITmedia NEWS「ヤマト運輸装う偽の不在通知に注意」より)
マイナポータル・公共機関を騙るSMS
次に多いのが、マイナポータルや税務署・社会保険など、公共機関を騙る手口です。「マイナンバーの手続きが必要です」「税金の還付があります」などの文面が届き、偽のログイン画面へ誘導されます。
たとえば「マイナポータルのアカウントが停止されます。本人確認のため下記URLよりログインしてください」という内容が届くことがあります。
公共機関を騙る手口が特に怖いのは、「役所からのお知らせだから本物かも」と信じてしまいやすい点です。マイナポータルや税務署がSMSでURLを送ってログインを求めることはありません。届いた場合は必ず偽物と疑いましょう。
銀行・クレジットカードを騙るSMS
フィッシング対策協議会の2026年2月の報告では、クレジット・信販系が全体の約27.8%を占めており、銀行・カード系の詐欺は依然として最大の脅威の一つです。
2026年2月のフィッシング報告件数は57,096件。クレジット・信販系は全体の約27.8%、EC系が約21.0%、証券系が約27.6%を占めた。
フィッシング対策協議会「2026年2月 フィッシング報告状況」
つまり、1か月だけで5万7千件以上のフィッシング被害が報告されており、そのうち4分の1以上がクレジットカード・銀行系ということなんです。
「ご利用のカードで不正利用が確認されました。24時間以内に確認しないと停止されます」といった緊迫感のある文面が特徴です。たとえば三井住友カードやVISA、Amazonを騙る事例が多く確認されています。「急いで!」「今すぐ確認!」という言葉が出たら詐欺のサインです。
本物と偽物の見分け方
「届いたSMSが本物かどうかわからない……」という方のために、タップする前にできるチェックポイントをお伝えします。
送信者名・電話番号を確認する
本物の企業からのSMSと偽物のSMSでは、送信者の表示が大きく異なることがあります。
たとえば、本物のヤマト運輸からのSMSは「0120-○○○-○○○」のような公式番号か、登録した企業名(英字)で届きます。一方、スミッシングでは見知らぬ携帯番号(090や080で始まる)から届くケースが多いんです。
ただし最近は、送信者名を偽装する技術も使われるようになっています。「送信者が本物らしく見える」だけでは安心できない点には注意が必要です。
もし知らない番号からメッセージが届いたら、Google検索か、jpnumberという電話番号を検索するサイトがあるので送信元を調べてみましょう。
試しに衆議院の電話番号で検索してみると
このように、検索結果が表示されます。
URLをタップ前にチェックする方法
最も大切なのが、URLを確認する習慣です。
iPhoneでもAndroidでも、URLを長押しするとリンク先のアドレスが表示されます。タップする前に以下のポイントを確認してみてください。
- 公式ドメインと一致しているか:ヤマト運輸は「kuronekoyamato.co.jp」など。偽物は「yamato-○○○.com」のように似せた別ドメインになっていることが多い
- 日本語の企業なのに「.com」や海外ドメインになっていないか:公共機関や宅配大手は「.co.jp」や「.go.jp」のドメインを使うことが多い
- URLが極端に短縮されていないか:bit.lyなどの短縮URLを使っている場合、リンク先が隠されているケースがある
URLを見ても、本物かどうかよくわからないんだけど……
URLをタップしないで、公式アプリやブラウザから直接アクセスするのが一番安全ですよ!SMSのリンクは使わないというルールを作ってしまうのがおすすめです。
文章の不自然さに気づく
スミッシングのSMSは、日本語の文章に不自然な点が残っていることがあるのも特徴です。
たとえば、句読点の位置がおかしい・敬語が混乱している・カタカナと漢字の使い方が不自然、などが見られます。「荷物がお届けできていませんでしたので、再配達の手続きをしてください」のような一見正しそうな文章でも、全体的な流れや言い回しに違和感を感じたら要注意です。
ただし最近のスミッシングは生成AIの活用により自然な日本語になっているケースも増えています。「日本語が変だから偽物」とは一概に言えない点に注意しましょう。
被害に遭ったときの対処法
「もしかして、タップしてしまったかも……」という方でも、落ち着いて対処することが大切です。早めに動くほど被害を最小限にとどめることができますよ。
個人情報を入力してしまったら
偽サイトでIDやパスワード、クレジットカード情報などを入力してしまった場合、入力した情報はすでに詐欺師の手に渡った可能性があります。次の手順をできるだけ早く実行してください。
- パスワードをすぐに変更する:入力したサービスのパスワードを今すぐ変更する。同じパスワードを使い回している他のサービスも合わせて変更を
- クレジットカードを止める:カード情報を入力してしまった場合は、カード会社に電話して即時停止を依頼する
- 銀行へ連絡する:口座情報を入力してしまった場合は、銀行の不正利用窓口へ連絡する
- 警察に相談する:最寄りの警察署、または警察相談専用電話「#9110」へ相談する
たとえば、クレジットカード番号を入力してしまった場合、1円でも不審な引き落としがないかすぐに明細を確認しましょう。少額の試し決済から始まるケースがあるため、「数十円の知らない請求」にも要注意です。
パスワード管理の見直しにはパスキーの導入も有効な選択肢です。パスワードを使わない認証方式なので、フィッシング詐欺でパスワードを盗まれるリスク自体をなくすことができますよ。
不審なアプリをインストールしてしまったら
不正アプリをインストールしてしまった場合は、すぐには削除せず、まず被害範囲を確認することが重要です。
たとえば「すぐに削除すれば大丈夫」と思いがちですが、自己判断で急いで削除や初期化を行うと、後の調査に必要な証拠が失われてしまう可能性があります。次の手順で落ち着いて対処しましょう。
- スマホをオフラインにする(機内モードON):不正アプリによるデータ送信をいったん止める
- キャリアの相談窓口に連絡する:docomo・au・SoftBankなど利用中のキャリアのセキュリティ窓口へ相談する
- 警察・消費者ホットライン188に相談する:被害が確認された場合は速やかに届け出る
- スマホを初期化する:キャリアや警察への相談後、必要に応じてスマホを初期化する
よくある質問(Q&A)
SMSを開いて読んだだけで大丈夫?
怪しいSMSが来て、思わず開いて読んでしまった……。ウイルスに感染してないか心配です
SMSを開いて読んだだけなら、基本的には問題ありません!危険なのはURLをタップした後です。
スミッシングの被害はURLをタップしてはじめて起きます。メッセージを読んだだけ・開いただけでは、情報が盗まれたり感染したりすることは基本的にありません。
ただし、SMSの本文に電話番号が書いてあり、そこへ電話してしまった場合は注意が必要です。折り返した電話で個人情報を聞き出す「ビッシング(電話詐欺)」と組み合わせた手口もあるためです。
スミッシングを完全に防ぐ方法はある?
怪しいSMSが届かないようにする方法はないの?
残念ながら、届かなくする完全な方法はありません。でも「届いても騙されない」習慣を身につけることはできますよ!
キャリア各社が「迷惑SMS/MMS拒否」フィルターを提供していますが、スミッシングのSMSはフィルターを回避する形で送られることも多く、完全に受信をブロックするのは難しいのが現状です。
一番有効な対策は、「SMSのURLは絶対にタップしない」というルールを自分の中で決めてしまうことです。荷物の確認は公式アプリ・公式サイトに直接アクセスして行う——この習慣が最強の防御になります。
AI技術を使った巧妙な詐欺の手口については、AI音声クローン詐欺の記事でも詳しく紹介しています。あわせてご覧ください。
まとめ:SMSは「疑う」習慣が最大の防御
スミッシング(SMS詐欺)について、大切なポイントをまとめます。
- スミッシングはSMSを使ったフィッシング詐欺。メールフィルターをすり抜けやすく被害が急増している
- 宅配不在通知・公共機関・銀行・カードを騙る手口が特に多い
- ヤマト運輸・佐川急便はSMSで不在通知を送らない。不在通知SMSはまず偽物と疑うこと
- URLは長押しして確認し、タップする前にドメインをチェックする
- 「SMSのURLはタップしない・公式アプリで確認する」を鉄則にする
- 被害に遭ったらすぐにパスワード変更・カード停止・警察(#9110)へ相談
「自分は騙されない」と思っていても、スミッシングの文面は年々巧妙になっています。大切なのは知識として知っておき、「届いたSMSのURLはタップしない」という習慣を今日から徹底することなんです。
ぜひこの記事をご家族や友人にも共有して、身近な人を詐欺から守る輪を広げてみてください!
参考文献
- フィッシング対策協議会「2026年2月 フィッシング報告状況」https://www.antiphishing.jp/report/monthly/202602.html
- トレンドマイクロ「宅配便業者を装った『不在通知』の偽SMSへの対処方法と対策」https://helpcenter.trendmicro.com/ja-jp/article/tmka-11718
- NTTドコモ「SMS不在通知詐欺が横行!その手口と詐欺対策にできること」https://nettrouble.docomo.ne.jp/pages/article90/
コメント